我建立了一个由我公司IT部门部署和维护的网站。我的网站后端需要访问互联网上的第三方API。 IT部门表示不允许从该站点访问外部网络。这是可接受的安全限制吗?进行外部API调用的安全方式是什么?
答案 0 :(得分:1)
您的IT部门想要限制对任意外部网站的访问的原因在理论上是在黑客设法上传和执行某些任意代码的情况下,将任何数据从Web服务器移动到另一台服务器更加困难。
这不是一个完全不合理的政策,因为它确实有助于缓解攻击,即使它并没有完全阻止攻击。
允许连接到外部世界的标准方法,但是以受控的方式为您的IT部门设置代理,然后您的应用程序应通过该部门与其他网站建立所有连接。代理应该有一个允许您的代码连接到的所有域的白名单,阻止所有其他请求。
这应该允许您的软件完成它需要做的事情,同时仍然可以减少黑客将数据从服务器上移出的可能性。
顺便说一下,如果您的IT部门有能力,您应该能够配置代理,以便对非白名单网站的任何请求都会触发警报,因为它表明可能会侵入服务器,现在它运行hack上传的代码。